Pametni telefoni moraju biti stalno povezani na mobilnu mrežu da bi radili kako treba. Za to se brine posebni dio uređaja zvan modem (ili baseband čip), koji omogućuje pozive, SMS-ove i mobilni internet.
Ali tim istraživača iz Južne Koreje otkrio je ozbiljne sigurnosne propuste upravo u tom dijelu mobitela. Naime, otkrili su da je moguće “srušiti” vezu mobitela — pa čak i preuzeti kontrolu nad uređajem — samo pomoću jednog posebno pripremljenog bežičnog signala.
Koristeći alat koji su sami razvili (LLFuzz), testirali su 15 popularnih mobitela poznatih proizvođača poput Applea, Samsunga, Googlea i Xiaomija. Pronašli su 11 ozbiljnih propusta. Sedam ih je već službeno prijavljeno i zakrpano, ali četiri još nisu javno objavljena.
U videu koji su objavili, demonstrirali su kako je dovoljno poslati samo jedan “loš” signal s prijenosnog računala pomoću posebnog radio uređaja, i mobitel automatski gubi vezu s mrežom — kao da ste ga isključili iz sustava.
Za razliku od većine dosadašnjih sigurnosnih istraživanja koja su se fokusirala na “gornje slojeve” mobilne mreže (npr. kako telefon komunicira s baznom stanicom), ovaj tim se fokusirao na donje slojeve koje proizvođači često zanemaruju. U tim slojevima često nema enkripcije niti provjere autentičnosti, što napadačima ostavlja otvorena vrata.
Najgore od svega: ovaj problem pogađa i jeftine i skupe uređaje, uključujući pametne telefone, satove, tablete i IoT uređaje. A pogođeni su svi veliki proizvođači čipova:
- Qualcomm (pogođeno preko 90 modela čipova)
- MediaTek (preko 80 modela)
- Samsung Exynos
- Apple (dijeli istu ranjivost s Qualcommom)
Istraživači su u samo dva tjedna pronašli i dvije 5G ranjivosti, što sugerira da postoji još mnogo neotkrivenih sigurnosnih rupa — posebno jer se donji slojevi komunikacije rijetko testiraju.
Profesor Yongdae Kim poručuje da je ovo ozbiljan podsjetnik da se mora uvesti standardizirani sigurnosni test za komunikacijske modeme u svim vrstama uređaja, jer su trenutno mnogi “slijepi na napade”.
Svoje rezultate tim će predstaviti ovog kolovoza na jednoj od najvećih svjetskih sigurnosnih konferencija — USENIX Security 2025.
